Вредоносное ПО Chaos, ложно рекламируемое как клон Ryuk

Исследователи безопасности выделяют новую разновидность вредоносных программ, которую они теперь называют Хаосом. Вредоносная программа была на их радарах в течение короткого времени, впервые обнаружена в июне 2021 года, и похоже, что злоумышленники, стоящие за ней, переключают передачи и готовятся запустить ее для своего первого выхода в дикую природу.

Хаос пока не использовался в активных атаках или кампаниях угроз, но, похоже, этот момент не так уж и далек. Хакеры, разрабатывающие его и публикующие обновления на форумах в даркнете, увеличили свой график обновлений, и вскоре Chaos может быть готов к своей первой экскурсии в дикую природу. Всего за два месяца вредоносная программа претерпела четыре значительных обновления.

Исследователи, работающие с Trend Micro, проанализировали Хаос и обнаружили в нем несколько интересных вещей. В отношении продукта, который вскоре может быть продан другим начинающим хакерам, Chaos много лжет. Во-первых, он выдает себя за форк печально известной программы-вымогателя Ryuk, но написан на .NET. Это отмечается даже на экране с требованием выкупа, содержащем строки примечания и криптокошелька.

Однако когда исследователь Trend Micro Монте де Хесус разобрал внутренности вредоносной программы, оказалось, что это далеко не так. Хаос работает так, что он больше похож на «разрушительного трояна», чем на обычную программу-вымогатель.

Прежде чем зашифровать файлы, Chaos заменяет их содержимое случайными байтами. Это фактически означает, что даже если жертва заплатит выкуп и получит ключ дешифрования, она просто расшифрует свои файлы до больших блоков случайных данных.

Любопытным дополнением к набору инструментов, которым обладает Chaos, помимо свойств очистителя, является его способность распространяться на все без исключения диски, подключенные к системе-жертве. Это проблема, потому что эта возможность червя распространяется также и на съемные диски.

Записка с требованием выкупа называется read_it.txt. В нем Хаос просит чуть более 6 тысяч долларов в биткойнах.

По мере обновления вредоносной программы она постепенно начала вести себя как традиционные программы-вымогатели. Постепенные обновления представили возможность правильно шифровать файлы небольших размеров без предварительного уничтожения исходных данных в них. Однако даже в последней версии Chaos не является полноценной программой-вымогателем. Это, вероятно, изменится по мере того, как хакеры, стоящие за ним, будут развивать это дальше. Это, однако, не уменьшает опасности, которую представляет Хаос как разрушительный инструмент очистки данных.